Bear C2 是俄罗斯 APT 组织模拟攻击中使用的 C2 脚本、有效载荷和阶段程序的汇编。Bear 具有多种加密方法,包括AES, XOR, DES, TLS, RC4, RSA and ChaCha确保有效载荷与操作员设备之间的通信安全。
Шахимат / Checkmate:此有效载荷执行技术使用伪造的 Windows SmartScreen,需要管理员权限并禁用真正的 SmartScreen 筛选器。该应用程序包含运行 Shellcode 并根据用户输入执行特定操作的功能。此执行技术已使用 C++ 重新开发和重写,以便轻松集成规避技术。
隐藏功能
Кинжал / Kinzhal:此有效载荷会执行多项操作。它首先检查自身是否具有管理员权限,如果没有,则会请求管理员权限。然后,它会尝试绕过用户帐户控制 (UAC),并通过修改注册表设置和禁用计划任务来禁用 SmartScreen 和 Windows Defender 等安全功能。该有效载荷会清除系统和安全事件日志以掩盖其踪迹。它会与远程服务器建立网络连接,以接收命令并发送数据。该有效载荷会检索计算机的唯一标识符,计算其 CRC32 校验和,并将此信息发送到服务器。它可以执行从服务器接收的系统和 PowerShell 命令,并将结果通过网络发送回服务器或OneDrive, Google Drive, Dropbox, or AWS通过 API 令牌上传到服务器。此外,它使用进程挖空技术将其有效载荷注入合法的系统进程 (svchost.exe),确保其在后台隐藏运行。最后,该有效载荷会隐藏其控制台窗口以避免被用户检测到。这种技术的组合使得有效载荷能够逃避检测、保持持久性、执行远程命令并将数据泄露到多个云平台。
必须注意的是,该仅用于教育和研究目的,任何未经授权的使用都可能导致法律后果。
原文始发于微信公众号(TtTeam):C2Matrix - BEAR(十)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4155710.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论